Monitorování azure Key Vault

Pokud máte důležité aplikace a obchodní procesy, které se spoléhají na prostředky Azure, měli byste monitorovat dostupnost, výkon a provoz těchto prostředků. Pro Azure Key Vault je důležité monitorovat vaši službu při zahájení škálování, protože počet požadavků odeslaných do vašeho trezoru klíčů se zvýší. To může zvýšit latenci vašich požadavků a v extrémních případech způsobit omezování vašich požadavků, což ovlivní výkon vaší služby.

Tento článek popisuje data monitorování generovaná Key Vault. Key Vault používá Azure Monitor. Pokud neznáte funkce služby Azure Monitor, které jsou společné pro všechny služby Azure, které ho používají, přečtěte si článek Monitorování prostředků Azure pomocí služby Azure Monitor.

Stránka přehledu monitorování v Azure Portal

Stránka Přehled v Azure Portal pro každý trezor klíčů obsahuje následující metriky na kartě Monitorování:

  • Celkový počet požadavků
  • Průměrná latence
  • Poměr úspěšnosti

Pokud chcete zobrazit tyto metriky, můžete vybrat další metriky (nebo kartu Metriky na levém bočním panelu v části Monitorování):

  • Celková latence rozhraní API služby
  • Celková dostupnost trezoru
  • Celková sytost trezoru
  • Celkový počet dosažení rozhraní API služby
  • Celkový počet výsledků rozhraní API služby

přehledy Key Vault

Některé služby v Azure mají speciální předem připravený řídicí panel monitorování v Azure Portal, který poskytuje výchozí bod pro monitorování služby. Tyto speciální řídicí panely se nazývají "insights".

Key Vault insights poskytuje komplexní monitorování trezorů klíčů tím, že poskytuje jednotné zobrazení požadavků Key Vault, výkonu, selhání a latence. Úplné podrobnosti najdete v tématu Monitorování služby trezoru klíčů pomocí Key Vault přehledů.

Data monitorování

Key Vault shromažďuje stejné druhy dat monitorování jako jiné prostředky Azure popsané v tématu Monitorování dat z prostředků Azure.

Podrobné informace o metrikách a protokolech vytvořených Key Vault najdete v referenčních informacích k datům monitorování Key Vault.

Shromažďování a směrování

Metriky a protokol aktivit dané platformy se shromažďují a ukládají automaticky, ale pomocí nastavení diagnostiky je možné je směrovat do jiných umístění.

Protokoly prostředků se neshromažďují a neukládají, dokud nevytvoříte nastavení diagnostiky a nenasměrujete je do jednoho nebo více umístění.

Podrobný postup vytvoření nastavení diagnostiky pomocí webu Azure Portal, rozhraní příkazového řádku nebo PowerShellu najdete v tématu Vytvoření nastavení diagnostiky pro shromažďování protokolů a metrik v Azure. Při vytváření nastavení diagnostiky určíte, které kategorie protokolů se mají shromažďovat. Kategorie pro Key Vault jsou uvedeny v referenčních informacích k datům monitorování Key Vault.

Pokud chcete vytvořit nastavení diagnostiky pro trezor klíčů, přečtěte si téma Povolení protokolování Key Vault. Metriky a protokoly, které můžete shromažďovat, jsou popsány v následujících částech.

Analýza metrik

Metriky můžete analyzovat pro Key Vault s metrikami z jiných služeb Azure pomocí Průzkumníka metrik otevřením metrik z nabídky Azure Monitor. Podrobnosti o použití tohoto nástroje najdete v tématu Začínáme s Průzkumníkem metrik Azure.

Seznam metrik platformy shromážděných pro Key Vault najdete v tématu Monitorování Key Vault referenčních metrik dat.

Analýza protokolů

Data v protokolech služby Azure Monitor jsou uložená v tabulkách, kde každá tabulka má vlastní sadu jedinečných vlastností.

Všechny protokoly prostředků ve službě Azure Monitor mají stejná pole následovaná poli specifickými pro službu. Běžné schéma je popsané ve schématu protokolu prostředků služby Azure Monitor.

Protokol aktivit je typ protokolu platformy v Azure, který poskytuje přehled o událostech na úrovni předplatného. Můžete ho zobrazit nezávisle nebo ho směrovat do protokolů služby Azure Monitor, kde můžete provádět mnohem složitější dotazy pomocí Log Analytics.

Seznam typů protokolů prostředků shromážděných pro Key Vault najdete v tématu Referenční informace k datům monitorování Key Vault

Seznam tabulek používaných protokoly služby Azure Monitor a dotazovatelné službou Log Analytics najdete v tématu Monitorování Key Vault referenčních informací k datům.

Ukázkové dotazy Kusto

Důležité

Když vyberete protokoly z nabídky Key Vault, otevře se Log Analytics s oborem dotazu nastaveným na aktuální trezor klíčů. To znamená, že dotazy protokolu budou obsahovat pouze data z tohoto prostředku. Pokud chcete spustit dotaz, který obsahuje data z jiných trezorů klíčů nebo data z jiných služeb Azure, vyberte protokoly z nabídky Azure Monitor . Podrobnosti najdete v tématu Rozsah dotazů protokolu a časový rozsah v Azure Monitor Log Analytics .

Tady jsou některé dotazy, které můžete zadat do panelu prohledávání protokolů, které vám pomůžou monitorovat Key Vault prostředky. Tyto dotazy pracují s novým jazykem.

  • Existují nějaké pomalé požadavky?

    // List of KeyVault requests that took longer than 1sec. 
    // To create an alert for this query, click '+ New alert rule'
    let threshold=1000; // let operator defines a constant that can be further used in the query
    
    AzureDiagnostics
    | where ResourceProvider =="MICROSOFT.KEYVAULT" 
    | where DurationMs > threshold
    | summarize count() by OperationName, _ResourceId
    
  • Došlo k nějakým selháním?

    // Count of failed KeyVault requests by status code. 
    // To create an alert for this query, click '+ New alert rule'
    
    AzureDiagnostics
    | where ResourceProvider =="MICROSOFT.KEYVAULT" 
    | where httpStatusCode_d >= 300 and not(OperationName == "Authentication" and httpStatusCode_d == 401)
    | summarize count() by requestUri_s, ResultSignature, _ResourceId
    // ResultSignature contains HTTP status, e.g. "OK" or "Forbidden"
    // httpStatusCode_d contains HTTP status code returned
    
  • Chyby deserializace vstupu

    // Shows errors caused due to malformed events that could not be deserialized by the job. 
    // To create an alert for this query, click '+ New alert rule'
    
    AzureDiagnostics
    | where ResourceProvider == "MICROSOFT.KEYVAULT" and parse_json(properties_s).DataErrorType in ("InputDeserializerError.InvalidData", "InputDeserializerError.TypeConversionError", "InputDeserializerError.MissingColumns", "InputDeserializerError.InvalidHeader", "InputDeserializerError.InvalidCompressionType")
    | project TimeGenerated, Resource, Region_s, OperationName, properties_s, Level, _ResourceId
    
  • Jak aktivní byla tato funkce KeyVault?

    // Line chart showing trend of KeyVault requests volume, per operation over time. 
    // KeyVault diagnostic currently stores logs in AzureDiagnostics table which stores logs for multiple services. 
    // Filter on ResourceProvider for logs specific to a service.
    
    AzureDiagnostics
    | where ResourceProvider =="MICROSOFT.KEYVAULT" 
    | summarize count() by bin(TimeGenerated, 1h), OperationName // Aggregate by hour
    | render timechart
    
    
  • Kdo volá tuto službu KeyVault?

    // List of callers identified by their IP address with their request count.  
    // KeyVault diagnostic currently stores logs in AzureDiagnostics table which stores logs for multiple services. 
    // Filter on ResourceProvider for logs specific to a service.
    
    AzureDiagnostics
    | where ResourceProvider =="MICROSOFT.KEYVAULT"
    | summarize count() by CallerIPAddress
    
  • Jak rychle tato služba KeyVault obsluhuje požadavky?

    // Line chart showing trend of request duration over time using different aggregations. 
    
    AzureDiagnostics
    | where ResourceProvider =="MICROSOFT.KEYVAULT" 
    | summarize avg(DurationMs) by requestUri_s, bin(TimeGenerated, 1h) // requestUri_s contains the URI of the request
    | render timechart
    
  • K jakým změnám došlo minulý měsíc?

    // Lists all update and patch requests from the last 30 days. 
    // KeyVault diagnostic currently stores logs in AzureDiagnostics table which stores logs for multiple services. 
    // Filter on ResourceProvider for logs specific to a service.
    
    AzureDiagnostics
    | where TimeGenerated > ago(30d) // Time range specified in the query. Overrides time picker in portal.
    | where ResourceProvider =="MICROSOFT.KEYVAULT" 
    | where OperationName == "VaultPut" or OperationName == "VaultPatch"
    | sort by TimeGenerated desc
    

Výstrahy

Upozornění služby Azure Monitor vás aktivně upozorňují, když se v datech monitorování nacházejí důležité podmínky. Umožňují vám předem identifikovat a řešit problémy ve vašem systému. Upozornění na metriky, protokoly a protokol aktivit můžete nastavit.

Pokud vytváříte nebo spouštíte aplikaci, která běží v Azure Key Vault, může Azure Monitor Application Insights nabídnout další typy upozornění.

Tady jsou některá běžná a doporučená pravidla upozornění pro Azure Key Vault –

  • Key Vault poklesy dostupnosti pod 100 % (statická prahová hodnota)
  • Key Vault Latence je větší než 1000 ms (statická prahová hodnota)
  • Celková sytost trezoru je větší než 75 % (statická prahová hodnota)
  • Celková sytost trezoru překračuje průměr (dynamická prahová hodnota)
  • Celkový počet kódů chyb vyšší než průměr (dynamická prahová hodnota)

Další podrobnosti najdete v tématu Upozorňování pro Azure Key Vault.

Další kroky